Das Rennen um neue softwarebasierte Architekturen, neue Antriebstechnologien und der Wandel zum Mobilitätsanbieter verlangen der Automobilindustrie viel ab. In diesem Rennen wurden die neuen digitalen Risiken grob vernachlässigt, insbesondere mit dem Einzug der vernetzten Fahrzeuge auf die Straße. Seit diesem Jahr reguliert das Weltforum für die Harmonisierung von Fahrzeugvorschriften (UNECE WP.29) die Zulassung aller Fahrzeuge in Europa: Ab Juli 2024 ist Cyber Security nicht mehr optional, sondern ein Muss.
Eine technische Lösung, wie beispielsweise die Verschlüsselung aller Daten oder das Installieren einer Firewall ist nicht genug. Die Erfahrungen aus anderen regulierten Branchen zeigen, dass Technologie allein nicht ausreicht, um sich gegen Angreifer zu wappnen. Gefragt ist vielmehr ein mehrdimensionaler, ganzheitlicher Ansatz, der sowohl Sicherheitsrisiken minimiert als auch die Konformität mit den UNECE-Regularien sicherstellt.
Ganzheitlicher Cyber-Security-Ansatz
Cyber Security muss End-to-end gedacht und realisiert werden, von den eingebetteten Systemen bis zu den Cloud-Servern. Risikomanagement muss entlang der gesamten Wertschöpfungskette erfolgen und Anforderungen definieren, die unmittelbar und übergreifend wirken. IT- und Produktteams müssen zusammenarbeiten, um Sicherheitsrichtlinien gemeinsam umzusetzen. Dies kann in der Praxis problematisch sein, da Zielsetzungen häufig divergieren.
Darüber hinaus schreibt die WP.29-Verordnung ein Sicherheitsmanagement während des gesamten Fahrzeuglebenszyklus vor: Von der Entwicklung über die Produktion bis hin zum Betrieb und zur Stilllegung des Fahrzeugs. Bestehende Prozesse müssen angepasst werden, sodass sie Sicherheitsaspekte berücksichtigen und neue Cyber-Security-Aktivitäten implementieren. Ist das Unternehmen in der Lage, einen Ransomware-Angriff auf seine Fahrzeugflotte zu entdecken und erfolgreich abzuwehren? Wie werden die Sicherheitsschwachstellen gepatcht? Was geschieht mit den persönlichen Daten, wenn ein Fahrzeug weiterverkauft wird? Diese und weitere Fragen müssen Unternehmen beantworten, wenn sie die Cybersicherheit ihres Fahrzeugs während des gesamten Lebenszyklus adressieren wollen.
Inmitten dieser Veränderungen steht der Mensch. Die schlichte Definition von Prozessen wird den Herausforderungen nicht gerecht. Vielmehr müssen Mitarbeiter aktiv eingebunden und geschult werden, um ein neues Bewusstsein für Cyber Security zu schaffen. Auf diese Weise wird Cyber Security zum integralen Bestandteil der täglichen Arbeit aller Mitarbeiter und nicht zur Aufgabe einiger weniger Experten.
Drei konkrete Schritte der Implementierung
Das Cyber Security Management System (CSMS) ist das Kernelement der neuen Verordnung. Es übernimmt die Funktion einer Kommandozentrale, die die Risikoabdeckung, die korrekte Bereitstellung von Updates und die fortlaufende Verbesserung aller Aktivitäten überwacht. Allerdings schafft ein CSMS allein noch keine vollständige Sicherheit. Auf dem Weg zum ganzheitlichen Cyber-Security-Ansatz sind die folgenden drei Schritte zu absolvieren:
- Im ersten Schritt muss eine umfassende Bewertung der Ist-Situation vorgenommen werden, um etwaige Lücken zwischen der Organisation und den neuen Vorschriften zu ermitteln. Ziel ist es, nicht nur das Vorhandensein von Prozessen und Aktivitäten zu überprüfen, sondern auch deren Reife und Anwendung in der täglichen Praxis kritisch zu hinterfragen.
- Der zweite und wichtigste Schritt besteht darin, ein Entscheidungssystem – ein CSMS – zu etablieren. Dies ermöglicht fundierte Entscheidungen zu Budgetplanung und Risikomanagement zu treffen, welche die zuvor identifizierten Lücken wirksam schließen. Die Organisationsstruktur, die Rollen- und Verantwortungsdefinitionen sowie Regeln und Richtlinien müssen entsprechend angepasst werden.
- Der dritte Schritt leitet schließlich die Transformation der Organisation ein. Cyber Security sollte in bestehende Prozesse eingebettet werden. Dabei sind anerkannte Standards und Normen anzuwenden. Allerdings ist Vorsicht geboten, die Normen präsentieren keine Lösungen, sondern dienen lediglich als Leitplanken. Die OEMs müssen ihre eigenen Sicherheitsanforderungen definieren und entsprechend ihrer Risikoabschätzung dokumentieren. An diesem Punkt muss das Change Management in den Fokus rücken. Durch Schulungen und kollaborative Workshops muss ein Cyber-Security-Bewusstsein geschaffen werden. Nur so ist es möglich, Cyber Security konsequent und effektiv umzusetzen.
Die Einhaltung der WP.29-Verordnung ist kein Selbstzweck, sie dient dem übergeordneten Ziel der Absicherung gegen Cyber Attacken. Die Einführung eines CSMS ist nur ein erster Sprint auf dem Weg des Cyber-Security-Marathons. Im Ziel wird sich die gesamte Organisation verändern, bis hin zum Geschäftsmodell.
Diese Veränderung bringt auch Chancen mit sich: Bei erfolgreicher Umsetzung kann Cyber Security zum Wettbewerbsvorteil werden. Nicht zuletzt kann sie dazu beitragen, die Akzeptanz des autonomen Fahrens zu erhöhen und das bestehende Vertrauen der Kunden in die Marke nachhaltig zu verfestigen.
